中国银行股份有限公司广东省分行广州中医药大学第一附属医院白云医院(子包三:网络安全加固建设项目)(第二次)[ZJZB-2024-17436]-磋商公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
采购邀请公告
中国银行股份有限公司广东省分行就中国银行股份有限公司广东省分行广州中医药大学
第一附属医院白云医院(子包三:网络安全加固建设项目)(第二次)进行采购,采购代理机
构为中捷通信有限公司,项目资金由采购人自筹,资金已落实。现进行公开【竞争性磋商】,
首次通过初步评审的有效供应商不足3家,采购失败,现进行重新采购,有意向的潜在供应商
(以下简称供应商)可前来应答。
一、项目名称:
中国银行股份有限公司广东省分行广州中医药大学第一附属医院白云医院(子包三:网络安
全加固建设项目)(第二次)
二、采购编号:
【ZJZB-2024-17436】
三、项目情况:
采购内容:为广州中医药大学第一附属医院白云医院采购一批硬件、软件设备用于信息系
统进行网络安全加固,具体内容详见采购邀请文件第四部分采购需求说明书。
(一)交付期:合同签署后120个工作日前 迹
(二)采购包/成交单位/份额划分:
本项目不划分采购包组,推荐综合得分排名第一的为候选供应商,推荐综合得分排名第二
的为备选供应商。
四、合格供应商的基本资质要求 (须同时满足):
(一)供应商要求如下:
1.具有独立承担民事责任的能力;
2.遵守法律法规,具有良好的商业信誉和健全的财务会计制度;
3.近3年(2021年1月1日至递交应答文件截止日(含))经营活动中没有重大违法违
规记录或涉及环境保护、劳动用工、消费者权益保护等方面的重大违法违规行为。重大违法违
规,是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、人民币200
万元以上(含)的罚款等行政处罚,以应答文件递交截止日评审现场查询为准。
4.提供的货物、工程或服务符合国家、行业标准及采购人要求;
5.具有为采购人提供货物、工程或服务所必需的设备和专业技术能力。
6.供应商有下列情形之一的,不得参加我行采购活动(法律、行政法规等另有规定的除
外):
6.1.被宣告破产的;
6.2.被“信用中国”网站(http://www.creditchina.gov.cn)列入失信被执行人、
重大税收违法失信主体和政府采购严重违法失信行为记录名单的,以应答文件递交截止
日评审现场查询为准。
7.截至递交应答文件截止日(含),未处于我行供应商不良行为禁止准入处罚期内;
8.未受到联合国、中国或其他采购人认为需适用的制裁发布主体的制裁,也未被前述制
裁对象拥有或实际控制
9.不接受联合体参加;
10.不得将本项目采购内容以任何方式进行转包;
11.未经采购方同意,不得将本项目以任何方式进行分包。
12.供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不同供应商,
不得同时参加同一子包采购或者未划分子包的同一项目采购。关联关系企业包含以下情况之一;
12.1.与本单位的单位负责人(含法定代表人)为同一人的其他单位。
12.2.与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或由其
控股的子公司。
13.供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,我行保
留不接受其参与本项目的权利:
13.1.供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项目团
队人员曾经与中国银行广东省分行(含辖属分支机构)存在劳动关系。
13.2.供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项目团
队人员与中国银行广东省分行高级经理及以上人员(含行长助理)、采购相关部门(财务管理
部、广州分行、白云支行)管理层成员或利益关联人员有夫妻、亲属关系。
14.供应商须保证:采购人在其本国使用供应商提供的货物/或服务时,不存在任何已知
的不合法的情形,也不存在任何已知的与第三方专利权、著作权、商标权或工业设计权相关的
侵权行为。如果有任何因采购人使用供应商提供的货物/或服务而提起的侵权指控,供应商须
依法承担全部责任。
15.供应商之间不得相互串通报价,不得排挤其他供应商的公平竞争,损害采购人或者其
他供应商的合法权益。
16.供应商提供的全部材料必须真实有效,供应商如提供虚假材料或存在弄虚作假行为,
其应答将被拒绝,采购人有权将其列入采购人供应商不良行为名单。如双方已签署合同的,采
购人有权据此单方面解除合同,并视情况依法追究被邀请谈判人的责任。
五、采购邀请文件的领取:
()采购邀请文件获取时间:2024年8月7日至2024年8月14日(法定公休日、法定
节假日除外),每日上午9时00分至12时00分,下午14时00分至17时00分(北京时间,
下同)
(二)采购邀请文件获取方式(以下方式任选其一即可)建议优先使用1/2方式获取采购
邀请文件:
1.系统获取文件:登录中通服供应链管理有限公司一电子招标平台
https://zjzb.chinaccsscm.cn完成登记并下载文件,网站主页可下载《中捷招标系统投标人
网上售标操作手册》参考流程。
2.邮件获取文件:将营业执照复印件盖章+授权委托书+文件获取登记表(盖章)打包以
邮件方式发送给获取文件联系人。
3.现场获取文件:携带营业执照复印件(注:1.若没有三证合一加带组织机构代码证)
及委托人身份证或工作证于广州市较场西路21号中捷通信有限公司四楼标书售卖室获取文件,
填写公司信息。 肓侬
文件发售联系人:朱先生020-83820346/02083800940/83806127,QQ: 2959505405,联系
邮箱:zhongjbss2@zjscs.com。
4.采购邀请文件每套售价:不收取。
5.应答保证金:不收取。
开户银行:中信银行广州花园支行
户 名:中捷通信有限公司
账 号:3110910043850039657
六、发布公告的媒介:
本公告同时在中国招标投标公共服务平台(http://www.cebpubservice.com)、中通服供
应链管理有限公司-电子招标平台https://zjzb.chinaccsscm.cn上进行发布。
除上述外,本项目不在其他任何网站、论坛等媒介上发布任何采购信息,共他任何媒介上
转载的、以本项目采购人为采购主体的采购信息均为非法转载,均为无效。
七、应答文件的递交:
(一)应答文件的递交:
1.应答文件递交的截止时间(开启时间)为:2024年8月15日09时30分;
2.应答文件递交地点:广州市越秀区东风西路197号-199号中国银行股份有限公司广
东省分行综合楼3楼集中采购中心会议室。
3.谈判时间:2024年8月15日(具体时间段以谈判小组或代理机构现场通知为准);
4.谈判地点:广州市越秀区东风西路197号-199号中国银行股份有限公司广东省分行
综合楼3楼集中采购中心会议室。
(二)获取采购邀请文件后,如无意参与本项目应答,请于应答文件递交截止之日前至少
1个工作日内书面说明并盖章后扫描发送至邮箱:xiangruoyun@chinaccs.cn,否则将视为贵公
司参与应答,未及时回复影响采购人采购进度的,采购人有权登记备案,作为供应商在采购人
年度考核的重要因素。
(三)出现以下情形时,采购人/采购代理机构不予接收应答文件:
1.逾期送达或者未送达指定地点的;
2.未按照采购邀请文件要求密封的;
3.未按照本公告要求获得本项目采购邀请文件的。
(四)采购人/采购代理机构邀请供应商的法定代表人或者其委托的代理人准时参加。参
与谈判会议的授权代表需单独携带(无需密封)一份授权委托书及身份证正反面复印件(备原
件核查),同应答文件一同提交供采购人/采购代理机构核查。
(五)采购人有权对供应商提供的证明材料进行核实,如果发现供应商提供虚假信息,将
追究提供虚假信息的责任。
八、监督举报方式:
供应商与采购人在接触及合作过程中,如遇采购人部门或员工的违法、违纪、违规等问题,
可向采购人纪委办公室反映和举报。采购人保护举报人的合法权益,严肃处理打击报复的行为。
举报电话:020-83153406
信函地址:广州市越秀区东风西路197号中国银行广东省分行西塔8楼 510180
九、其他:
本项目不属于依法必须进行招标的项目,也不属于政府采购项目,为采购人自行采购的项
目。
十、联系方式:
采购人名称:中国银行股份有限公司广东省分行
采购人地址:广州市越秀区东风西路197号-199号
采购人联系人:登录即可免费查看
采购代理机构名称:中捷通信有限公司
采购代理机构地址:广州市较场西路21号
文件获取联系人、电话及邮箱:朱先生登录即可免费查看
项目联系人、电话及邮箱:
项若云/15920389678/xiangruoyun@chinaccs.cn
刘佳倪/15815840967/liujiani@chinaccs.cn
杨纾帆/18921798062/yangshufan.gyl@chinaccs.cn
谢知/施其铿
采购人:中国银行股份有限公司广东省分行
采购代理机构:中捷通信有限公司
2024年8月7日
普
招标文件领取登记表
| 项目 | 内容 | 备注 |
| 项目名称 | ||
| 招标代理编号 | ||
| 购买招标文件 单位名称 | ||
| 联系人 | ||
| 移动电话 | ||
| 传真 | ||
| 电子邮箱 | ||
| 通信地址/邮编 | ||
| 售卖招标文件时间 | ||
| 分包情况 | ||
| 文件数量 | ||
| 交纳金额(元) | ||
| 购买依据 | □ 营业执照 □ 单位介绍信 □ 工作证□ 身份证 □ 授权函 □ 邀请函□ 其他: | |
| 其他补充说明 | 购买人签名: |
第四部分 采购需求说明书
一、 总体要求
1、 标有“★”的条款为必须完全满足的项目,任何未响应或负偏离将导致响应无效。
2、 标有“▲”的条款为重要项目,任何未响应或负偏离将影响评分。
3、 项目建设背景
随着医院医疗业务不断发展,信息化业务系统不断完善,医院挂号、收费结算、门诊业务、电子病历 等系统执行线上作业,提升了医疗服务便捷性。伴随着信息化线上业务的信息安全隐患也呈现出来,例如:黄牛抢号、篡改收费信息等。为了保障医院挂号、收费结算等业务系统的安全性,同时响应国家网络安全 等级保护的政策要求,成立本次项目,对医院网络安全防护能力进行建设,以及信息业务系统进行等级保 护测评及安全评估工作。通过网络防护建设及等保测评服务,加大测评与风险防护力度,有效提升数据中 心网络及环境的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高医院 数据中心的安全运维能力,保障医院信息业务系统的安全稳定运行。
4、 建设目标
通过对医院信息化业务系统的安全防护升级建设,使医院信息业务系统符合国家关于网络安全方面的 政策要求,有效提升医院信息化安全防护能力,为在线挂号、支付结算、HIS、电子病历等医院业务系统 提供安全运营的保障能力。
5、 建设日期要求
本次项目建设周期为自合同签订之日起 120 个工作日内完成。
6、 交付要求
★投标人需承诺所提供的产品功能和性能必须和投标文件保持一致,且不得低于项目要求、不得虚假 陈述或承诺,否则招标人不予以验收。(投标人需提供承诺函,格式自拟)
7、 售后要求
设备维保要求
本次项目采购的安全产品要求提供 3 年软硬件免费维保,维保期内,设备发生故障,要求投标人到现 场处置,按医院规定时间(48 小时内)不能恢复的,由投标人提供相同性能设备替换以保业务的连续性运 行。
培训要求
安全产品部署完成后,进入试运营,由投标人提供安全产品的运维使用手册,出具培训方案,并由投 标人提供产品培训。
二、 项目需求清单
| 序号 | 产品 | 用途 | 数 量 | 单 位 | 说明 |
| 1 | 上网行为管理 | 互联网边界审计 | 1 | 台 | |
| 2 | 堡垒机 | 实现运维安全接入,全面记录银行专 线、医保专线、医院收费系统、医院 | 1 | 台 |
第 38 页
| 挂号系统等的运维行为,规避严重高 风险操作,保障医院业务的正常开展。 | ||||||
| 3 | 日志审计系统 | 网络日志收集与关联分析 | 1 | 台 | ||
| 4 | 终端准入 | 终端资产网络接入管控 | 1 | 台 | 1000 个终端授权 | |
| 5 | 备份一体机 | 数据备份与恢复 | 1 | 台 | 可用容量≥40TB | |
| 6 | VPN | SSL VPN 远程接入网关,移动办公人员 的移动远程接入 | 1 | 台 | 提供 20 个用户授权 | |
| 7 | 数据库审计系统 | 数据库行为审计,监测并记录外联单 位的数据库查询行为,实时通告危险 数据库操作,对银行、医保等外联单 位接入系统进行安全防护。 | 1 | 台 | 含防统方功能 | |
| 8 | 安 全 等 保 测 评 及 加 固 升 级 服 务 | 等 级 保 护 测 评 及 整 改 服务 | 等保备案、测评、整改服务 | 1 | 项 | 提供 2 个三级系统、1 个 二级系统的等级保护测 评服务,协助完成测评问 题整改和完成标准验收 测试工作,提供测评报告 3 份 |
| 终 端 安 全 管 理 系统 | 病毒防护、补丁管理和运维管控 | 1 | 套 | 530 个 PC 杀毒授权,30 个 Windows 服务器杀毒 授权,10 个 linux 服务 器杀毒授权,含管理中心 | ||
| SSL 证书 | 保障业务数据传输的完整性和保密性 | 1 | 张 | OV 级 | ||
| 备注:上述设备含硬件安装,系统调试服务,含三年硬件维保和软件升级服务。 | ||||||
三、 产品设备功能及服务要求
如无特别说明,需求中提及技术指标要求均为最低要求。
1、 上网行为管理-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1 | 基本要求 | 满足 120M 带宽/1000 人网络环境下使用;最大并发连接数≥16 万,最大新 建连接数≥24000 个/秒;1U 硬件,标配≥6 个千兆电接口(其中含 1 个管 理接口和 1 个 HA 接口),提供≥1 个扩展插槽,单交流电源。含三年硬件 质保服务和软件升级服务。 |
| 2 | 硬件规格 | 设备必须具备独立的(具备标识的)网络管理接口。所有接业务接口均被用 满后,仍然可以存在独立的管理口可以访问设备 |
| 3 | 设备必须提供物理硬件 bypass 按钮,便于设备巡检、设备故障时管理员无 需重启、关机、断电即可恢复网络通畅。(投标人须提供设备前面板照片证 明) |
第 39 页
| 序号 | 指标项 | 指标要求 |
| 4 | 支持内置光 Bypass 接口,可通过系统开关或设备面板按扭实现光口 Bypass,无需增加外置 Bypass 产品。 | |
| 5 | 设备部署 | 设备在部署时支持模式选择,可设置为 Portal 模式,实现 Portal 服务器功 能;(投标人须提供证明截图) |
| 6 | 多种认证方式 | 支持多种认证方式,包括本地用户名密码、第三方服务器、短信认证、微信 认证、二维码认证等 |
| 7 | 支持 LDAP、Radius、POP3、Proxy 等第三方认证; | |
| 8 | 首页行为风险面板 | 可集中呈现上网行为风险等级和状态。 行为风险等级包括安全等级、效率等级、合规等级和管控等级。行为状态包 括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状 态。点击页面数值可直接跳转查询详情。 |
| 9 | 应用细分控制 | 能够对 Github、百度网盘、百度文库等网络应用的上传动作进行细分控制; |
| 10 | 支持失陷主机检测 | 支持通过恶意软件特征检测方式识别失陷主机并记录日志。 |
| 11 | 至少支持拦截对外部威胁 IP 的访问请求和阻塞失陷主机 IP 两种控制策略。阻塞后支持向用户推送威胁情报阻塞提示页面。 | |
| 12 | 应用审计及控制 | ▲应用协议库包含的应用数量不低于 12000 种,应用规则总数不低于 73000 种。(投标人须提供证明截图并加盖原厂公章) |
| 13 | 时间控制 | 支持基于时间段的带宽划分与分配策略; 支持按日期设置流控策略,比如针对节假日设置不同流控策略; |
| 14 | 阻塞提示 | 不同网页被阻塞后会跳转不同的阻塞页面;支持用户完全自定义 |
| 15 | 外发文件限制 | ▲支持基于文件后缀的文件类型识别;支持基于文件内容对归档文件、压缩 文件、加密文件、脚本文件等 170+文件类型识别。修改后缀名,压缩等方 式均可以识别准确类型;(投标人须提供证明截图并加盖原厂公章) |
| 16 | 下钻分析 | 下钻查询 在流量时长分析、用户行为分析、终端接入分析等纬度相关页面 支持对统计结果的向下钻取查询 |
| 17 | 认证策略 | 可以基于 IP、MAC 等多因素进行用户认证、识别 |
| 18 | 报表导出 | 报表可导出为 PDF 和 DOC 格式; |
| 19 | 日志 USB 导出 | 支持将日志数据通过设备 USB 接口导出。 |
| 20 | 产品资质 | 须符合国家标准的强制性要求 |
2、 堡垒机-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1 | 硬件性能 及质保 | 采用专用千兆多核硬件平台和安全操作系统;外观:标准 1U 机架式;6 个千兆电口;支 持 2 个接口扩展槽位;内置 4TB 硬盘;双电源;支持液晶屏;支持≧150 路图形会话或≧400 路字符会话并发,授权 100 个被管资源数,含三年硬件维保和软件升级服务。(投 标人须提供承诺函,格式自拟) |
| 2 | 用户管理 | 支持批量导入、导出用户信息;支持用户手动添加、删除、编辑、设定角色、单独指定 登陆认证方式、设定用户有效期 |
| 3 | 支持按模块和功能自定义角色权限,便于管理,用于复杂的业务场景需求 | |
| 4 | 部门分级 管理 | 支持设置多级部门,灵活划分可管理的用户、资源、策略和审计数据的范围,实现通过 部门进行分组管理 |
第 40 页
| 序号 | 指标项 | 指标要求 |
| 5 | 资源管理 | 支持 unix 资源、windows 资源、网络设备资源、数据库资源、C/S 资源、B/S 资源 |
| 6 | 支持批量导入、导出资源信息;支持手动添加、删除、编辑、查询资源,支持变更默认 运维端口 | |
| 7 | 支持资源按标签管理,并可以对资源批量添加和删除标签 | |
| 8 | 支持用户自定义 Web 类型应用的代填节点 | |
| 9 | 资源账户 改密 | 支持以账户、账户组、时间、改密周期、改密方式生成详细的改密计划,到期自动执行 |
| 10 | ▲改密完成之后,通过邮件将密码发送给指定的管理员,需要指定 2 个管理员,管理员 A 收到前半段密码,管理员 B 收到后半段密码(投标人须提供证明截图并加盖原厂公章) | |
| 11 | 支持密码策略设置,可自定义密码复杂程度,可设置密码中包含数字、字母、符号及禁 用关键字等内容 | |
| 12 | 支持随机生成不同、相同密码或者手动指定密码,改密日志内容包括改密账户总数,成 功、失败和未修改数量 | |
| 13 | 支持修改数据库账户的密码,包括 MySQL、Oracle、SQL Server。 | |
| 14 | 运维授权 | 支持一对一、一对多、多对多授权,如将单个资产授权多个用户,一个用户授予多个资 产,用户组向资产组授权 |
| 15 | 支持 SSH、RDP、TELNET、VNC 协议资源的批量登录功能,并且支持混合协议的批量登录,支持同时在一个页面运维不同协议的资源 | |
| 16 | 支持按授权名称、用户名称、用户账号、资源名称、资源地址、资源账号查询已授权信 息 | |
| 17 | 审计日志 | 支持监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开 始时间等,并可以实时阻断 |
| 18 | 对字符命令方式的访问可以审计到所有交互内容,可以还原操作过程的命令输入和结果 输出,并支持通过搜索操作语句或执行结果中关键字定位审计回放 | |
| 19 | ▲支持水印功能,用户在运维或者是监控、查看会话时,H5 页面会将用户的登录名作为 水印展示,避免数据泄露无法追责(投标人须提供证明截图并加盖原厂公章) | |
| 20 | 支持对用户从主机上下载或上传到主机的文件进行保存,可灵活设置保存文件的大小(支 持单文件或会话级别限制),可自动计算文件的 SHA256 值 | |
| 21 | 系统管理 | 通过系统公告对所有用户发送消息通知 |
| 22 | cpu 工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统数据库工作情况, WEB 服务工作情况,其他关键组件工作情况等 | |
| 23 | 支持配置多个 AD 域/LDAP 作为认证源 | |
| 24 | 支持在线升级,系统支持自动检查并下载最新版本升级包,用户可手动一键升级 | |
| 25 | 产品资质 | 须符合国家标准的强制性要求 |
| 26 | 具备国家信息安全测评信息技术产品安全测评证书 EAL3+。(投标人须提供有效期内的 证明材料) |
3、 日志审计系统-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1 | 硬件性能及 质保 | ▲硬件规格:标准 2U 机箱,6 个千兆电口,2 个扩展插槽(可选 2 万兆光、4 千兆电、4 千兆光),1 个 Console 接口,冗余电源,8TB 硬盘,综合日志处理性能 5000EPS。 包含 100 个日志源授权。(投标人须提供承诺函,格式自拟) |
| 2 | 部署模式 | 支持单一部署,也支持分布式集群部署,支持级联部署。 |
| 3 | 提供分布式日志采集器、分布式计算存储节点,支持水平弹性扩展,由管理中心集中 调度管理,提升日志分析和存储性能(投标人须提供证明截图) |
第 41 页
| 序号 | 指标项 | 指标要求 |
| 4 | 日志采集与 转发 | 支持通过 Syslog、Syslog-NG、SNMP Trap、Netflow V5、JDBC、Agent 代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka 等多种方式完成各种日志的收集功能; |
| 5 | 日志查询 | 支持根据设备类型,按日期展示日志的接入情况,包含不同级别日志数量统计;支持 精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询 |
| 6 | 秒级全文检索,支持亿级数据秒级检索,支持关键词搜索; | |
| 7 | 日志归一化 | 支持对日志格式进行标准化操作时,不破坏原始日志内容。从不同设备或系统的日志 中抽取相关片段准确和完整地映射至日志的标准字段中,统一格式。 |
| 8 | ▲日志解析字段内置 130 个字段,属性字段可扩展,用户可根据审计需要自行创建字 段,字段类型包括 IP、字符串、整型等 6 种,可设定字段长度、选择字段操作符集,选择映射函数等。内置及新增的所有字段均可参与查询、关联分析和报表统计。(投标 人须提供证明截图并加盖原厂公章) | |
| 9 | 支持正则表达式、Key-Value、JSON 日志解析,支持日志自动化辅助范化; | |
| 10 | 支持对选中的日志内容自动生成正则表达式来提取日志属性。 | |
| 11 | 日志统计分 析 | 可自定义统计场景,统计的字段条件和时间段以及过滤器等可自由设定; |
| 12 | 支持柱状图、饼图、折线图、面积图、堆积图、环状图、数值图、地图、3D 地球等形 式的统计信息可视化展示,并可将统计结果保存为仪表板和报表等。图表数据支持数 据下钻。 | |
| 13 | 支持将统计结果保存为仪表板、报表和策略。 | |
| 14 | ▲仪表板支持自定义创建框架,用户根据需要在框架内添加不同的仪表板组件(数值、折线、面积、柱图、饼图、环状图、地图、组件、URL、文本、图片、列表等),支持 组件位置自由摆放,组件大小自由拖曳等。(投标人须提供证明截图并加盖原厂公章) | |
| 15 | 关联规则触发后能够通过多种方式进行告警,支持发邮件、发送 syslog、短信、执行 命令使设备协同工作、发送 SNMP Trap 等方式发送告警,并能够在动作中引用事件的 属性变量; | |
| 16 | 关联分析 | 支持分布式关联分析引擎,可以弹性扩展分析能力。 |
| 17 | 系统认证 | 产品内部的各个组件之间通信都支持加密传输,浏览器访问管理中心支持 HTTPS; |
| 18 | 浏览器支持 session 过期保护,支持超时退出机制; | |
| 19 | 系统管理 | 采用基于角色的权限管理机制,通过角色定义支持多用户访问; |
| 20 | 支持三权分立;内置管理员组与用户组。管理员组包括:系统管理员、安全管理员、审计管理员;用户组默认用户包括:管理员。 | |
| 21 | 系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置。 | |
| 22 | 产品资质 | 须符合国家标准的强制性要求 |
第 42 页
4、 终端准入-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1 | 基础架构 | 基于 linux 开发的嵌入式专用系统,管理平台采用 B/S 架构进行管理,可通过 https 模式进行管理平台登录。 |
| 2 | 性能参数 | ▲1U 机架结构;单电源,标准配置 6 个 1000MBASE-T 接口, 每秒事务数(TPS):≥2000(次/秒),最大吞吐量:≥1000Mbps,最大并发连 接数:2000(条);支持管控终端 1000 台(投标人须提供承诺函,格式自拟) |
| 3 | 准入技术 | 支持 802.1X、Vlan 隔离、Portal、ARP、DHCP、策略路由、端口镜像、透明网桥 等多种准入技术,支持灵活复用。支持提供自动重定向入网引导页面,页面支持 根据设备类型自定义风格颜色。 |
| 4 | VLAN 隔离技术支持无客户端下的端口级准入效果,支持采用正常 vlan 对应隔离 vlan 的方式进行一对一 vlan 映射。支持图形化展示隔离 vlan 切换效果。 | |
| 5 | 支持单端口的策略路由的准入控制,支持双端口(一进一出模式)的策略路由的 准入控制技术。 | |
| 6 | ▲支持设置例外 ip 和例外域名,例外域名支持设置通配符域名,任何完成入网 或未完成入网的终端,准入系统均允许其访问例外域名。(投标人须提供证明截 图并加盖原厂公章) | |
| 7 | 终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网 页面。 | |
| 8 | 国产化系统 客户端 | 支持基于不同的国产化操作系统,通过浏览器自适应推送安全客户端。支持银河 麒麟操作系统、统信 UOS 操作系统。客户端兼容龙芯、兆芯、飞腾、鲲鹏等国产 处理器。 |
| 9 | Windows 系统客户端 | 支持客户端在 802.1x 模式切换普通模式时,无需卸载或重新安装安全客户端。安装包(windows)≤10M。资源占用(初次安装后)CPU≤1%,内存占用≤60M。管理员可自定义安装后是否创建桌面图标。 |
| 10 | 支持灵活的客户端卸载策略,包括但不限于万能卸载码,一对一卸载码,无需卸 载码等多种模式。支持设置离线客户端策略,包括但不限于超过指定时间后客户 端自动卸载,提醒用户确认是否卸载等。 | |
| 11 | 客户端支持自定义菜单栏及终端用户故障诊断,诊断过程支持录屏,诊断结果支 持一键压缩打包。 | |
| 12 | 其他系统 客户端 | 支持 linux、Mac OS、IOS 和 Android 等操作系统客户端。 |
| 13 | 智能逃生 | 支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀 值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置 策略生效时间。 |
| 14 | 提供专属逃生平台对系统服务状态进行实时评估,逃生平台策略被触发时可保障 业务的稳定运行;策略包括但不限于系统服务异常等。 | |
| 15 | 管理平台 | 管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。 |
| 16 | 在多管理员状态下,支持设置私有、公有规范策略。私有规范只有创建账号有权 限更改、删除,公有规范所有管理员均可更改或删除。 | |
| 17 | 提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设 备审核、实时报警监控、客户端卸载确认码生成等。 | |
| 18 | 边界管理 | 支持自动生成全网拓扑图,5 分钟自动更新一次网络拓扑信息并刷新。 |
第 43 页
| 序号 | 指标项 | 指标要求 |
| 19 | 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息;支持在界面上提供对该网络设备进行TELNET、SSH等管理;能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看 拓扑连接。 | |
| 20 | 支持可网管型交换机面板图形化展现各接口状态(up、down、trunk、单/多MAC 等),以及各接口下联的终端详细信息(IP、地址、MAC地址等),交换机型号库 100以上。 | |
| 21 | 身份认证 | 支持用户名密码、Ukey、指纹等认证方式,支持与 AD 域、LDAP、钉钉、Email、企业微信联动。钉钉作为认证源时,移动终端自动跳转认证服务,无需手动打开 相关 app。 |
| 22 | 支持设置来宾专属地址段;来宾入网提供二维码、来宾码、自助申请(管理员审 批)多种方式;提供来宾入网审批气泡弹窗提醒功能,被访人点击即可审批。 | |
| 23 | 与 AD 域联动支持单点登录;支持管理员自定义域信息属性到认证设备,包括但 不限于用户姓名、部门、联系电话等。 | |
| 24 | 业务安全 | 支持关键业务端口映射,可设置映射的端口及选择映射的协议类型。 |
| 25 | 安全基线检查(windows) | 终端入网前支持 IE 控件、IE 主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、网络监听端口、网络连接、系统时间、远程桌面、主机 防火墙、p2p 软件、软件黑白名单、黑白进程、系统服务、Guest 来宾账户、密 码策略、屏幕保护 、弱口令、共享检查等终端安全检查项 |
| 26 | 支持终端入网前对杀毒软件安装情况、病毒库版本、软件版本进行安全检查,同 时针对不符合安装情况、病毒库版本、软件版本终端选择定向修复方式,包括安 装包修复和 URL 修复。产品内置杀毒软件检查种类包括但不限于微软 MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天 擎、亚信趋势、小红伞、可牛、Avast 等。 | |
| 27 | 安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用 网络。 | |
| 28 | 支持自定义安全检查项,通过检测终端文件、指定文件版本、大小、MD5,注册 表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开 关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。 | |
| 29 | 软件产品正版化检查,包括但不限于 windows、office、WPS 产品的授权信息正 版化检查。 | |
| 30 | 支持完整的操作系统补丁管理,无需第三方补丁服务器支持,自身即可以提供完 整的流程化补丁管理,包括同步更新、补丁分发表等功能。 | |
| 31 | 支持对操作系统补丁进行分级,分为:严重、重要、中等的类别;能够在终端的 浏览器页面显示入网终端的补丁检查情况;支持 windows 系列补丁库、补丁检查 和补丁分发安装;支持 windows 补丁检查及自动修复。 | |
| 32 | 安全基线检查(国 产操作系统) | 支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防 火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白 名单、系统服务、密码策略、弱口令检查。 |
| 33 | 安全基线检查(移 动终端) | 移动终端可以支持通过将指纹和用户账户绑定的方法,实现用户按压指纹认证入 网。 |
| 34 | 支持禁用移动终端入网策略。 | |
| 35 | 支持移动终端必须安装 app、禁止安装 app、必须运行进程 、禁止运行进程及杀 毒软件检查。 |
第 44 页
| 序号 | 指标项 | 指标要求 |
| 36 | 运维管理 | 软件、消息分发:支持基于部门、角色(分组)、设备或 ip 段进行软件、消息分 发,分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持 设置保留或不保留,分发后支持重启或关闭计算机。 |
| 37 | 远程协助:支持管理员或终端用户双向发起远程协助。 | |
| 38 | 支持自主定义准入服务器的 openssl 证书信息并生成证书,或导入可信机构签发 的证书 | |
| 39 | IP 资源管理:支持提供图形化的 ip 地址台账;支持一键绑定全网 ip/mac;支持 检查 ip/组织架构绑定。 | |
| 40 | 提供网络诊断工具,支持通过 Web 管理界面进行 ping、抓包、traceroute、nslookup 等。 | |
| 41 | 提供 IP 地址分配矩阵图,可以通过组织架构为维度查看 IP 地址分配矩阵图;能 够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的 IP 使用情况。 | |
| 42 | 报警信息 | 支持系统报警、网络报警、终端报警等报警类型,超过20种以上自定义报警类型。支持报警信息通过Syslog、邮件进行输出。 |
| 43 | 设备指纹识别 | 支持通过 arp、dhcp、icmp 以及 tcp 等协议实时检测并发现接入内网的 PC、摄 像头、打印机、其他 IP 设备等终端设备进行识别发现。 |
| 44 | 支持自定义设备指纹规则,可自定义的信息至少包括:IP 地址、MAC 地址、操作 系统、网页标题、Telnet 输出、FTP 输出、SSH 输出、端口、网页内容、对外端 口、MAC 厂商、网页内容、网页服务器、设备名称、DHCP,HTTP UA。(投标人须 提供证明截图) | |
| 45 | 非法外联发现及阻 断 | 支持发现终端同时连接内网和外网的行为,针对违规外联的终端支持阻断内网连 接、提示用户、后台报警、重启电脑等违规措施。 |
| 46 | 支持操作系统,windows 操作系统的违规外联检查。 | |
| 47 | 移动存储介质管理 | 可设置策略非存储介质自动放行;管理员可以通过对存储介质注册、授权的 方式来加强管理存储介质的使用范围和权限,并支持存储介质分区加密;未经标 识的存储介质将不能在企业内使用;针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只 读、禁用、放行、脱机生效以及时间范围等做精细控制;所有的流程在线完成,终端用户在线申请,管理员在线审批及策略下发。 |
| 48 | 软硬件资产管理 | 能够对全网计算机上安装的软/硬件进行统计,并能够针对软硬件资产变动进行 告警。 |
| 49 | 报表 | 支持提供每日/周/月入网报告及终端安全评估报告。 |
| 50 | 产品资质 | 须符合国家标准的强制性要求 |
5、 备份一体机-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1 | 备份一体机硬 件要求 | 2U 机架式,550(1+1)冗余电源,一颗六核处理器,内存 32GB,8 个热插拔盘位,提供 5 块 12T SATA 7200 企业级硬盘,提供 2 个千兆以太网接口。(投标人须提供承 诺函,格式自拟) |
| 2 | 备份一体机软 件要求 | ▲提供≥40TB 可用容量数据备份功能授权,配置不限节点传统定时备份授权许可(投 标人须提供承诺函,格式自拟);需支持包含文件(Windows、Linux)备份、数据库(Oracle、MySQL、MS SQLServer)备份、NAS(NFS、CIFS)备份、虚拟机(Vmware、H3C CAS/UIS、SANGFOR HCI、OpenStack、Huawei FusionCompute、RedHat RHV/Ovirt、Microsoft Hyper-v)无代理备份。(投标人须提供证明截图并加盖原厂公章) |
第 45 页
| 序号 | 指标项 | 指标要求 |
| 3 | 备份一体机管 理要求 | 产品采用 https 方式登录,支持集群架构,提供备份任务负载均衡,实现多个高并发 数据备份任务作业时的负载均衡,确保海量数据备份、高并发备份的性能。 |
| 4 | 提供集中统一的备份管理平台,包含数据备份管理、客户端管理、存储管理、NAS 备 份、日志管理、授权管理以及多节点管理等,并支持集中管理全部客户端主机的数据 备份、恢复、瞬时恢复、远程复制、数据查询、数据清理等操作。 | |
| 5 | 备份一体机基 础功能要求 | ▲支持对虚拟服务器、物理服务实现操作系统的整体定时备份。在容量授权范围内,不限制虚拟化无代理备份服务器、物理服务器及虚拟机数量,不限制虚拟化分钟级快 速接管虚拟机数量,不限制操作系统和数据库数量的备份和恢复功能。(投标人须提 供证明截图并加盖原厂公章) |
| 6 | 支持基于飞腾、龙芯等国产平台上的文件、操作系统的在线备份与恢复功能。 | |
| 7 | 备份一体机环 境适配要求 | 支持基于 Windows、Linux 等各类操作系统的各个版本的定时备份和恢复功能。 |
| 8 | 支持对 Oracle、SQL Server、MySQL 等主流数据库一次性备份,既可恢复数据库又 可恢复单个文件的细粒度恢复技术。支持对 SQL Server、Oracle、MySQL 等主流数据 库和应用进行在线备份保护。备份任务创建配置过程中全部采用图形化向导式完成,无需编写任何的脚本。 | |
| 9 | 支持 Oracle、SQL Server、MySQL 等主流数据库备份坏块及检查预警机制。数据库备 份任务过程中,备份系统针对数据库数据文件逻辑和物理坏块的检测,一旦检测到坏 块,系统将根据坏块日志信息以发送邮件形式告警,及时通知系统管理员。 | |
| 10 | 支持提供 Windows、Linux 等文件系统磁盘、分区在线备份功能,以整盘或分区为单 位进行数据备份,提升海量小文件环境下的备份效率。支持整盘或分区恢复及单文件 目录级别的细粒度备份与恢复。 | |
| 11 | 支持海量小文件在线备份,在备份拥有百万级、千万级,甚至亿万级小文件的文件系 统时,提供对文件系统进行逻辑卷块备份,从而实现海量小文件快速备份。 | |
| 12 | 备份一体机虚 拟化无代理备 份与恢复要求 | 支持主流虚拟化平台无代理备份,包括 VMware、 Hyper-V、华三(H3C)、深信服(HCI)、FusionCompute、EVEREST、红帽(RHV/oVirt)、SmartX、OpenStack 等虚拟化平台在 线备份,支持完全、增量等备份类型。无需在虚拟主机上安装任何客户端代理,直接 通过访问 Hypervisor 层,实现虚拟主机整机备份,零消耗 Host OS 资源,减少备份 系统部署及运维工作量。 |
| 13 | 支持对 VMware、 Hyper-V、华三(H3C)、深信服(HCI)、FusionCompute、EVEREST、红帽(RHV/oVirt)、SmartX、OpenStack 等主流虚拟化平台的在线备份,支持虚拟机 全备份、CBT/RCT 块级增量备份。 | |
| 14 | 支持多个应用关联的虚拟机一致性组备份功能,保证数据时间点一致,同时支持多个 非关联性虚拟机串行备份,降低对生产存储空间占用和性能影响。 | |
| 15 | 支持对虚拟机深度有效数据提取功能,只备份已经写入的数据,对于虚拟机中无备份 价值的数据(包含交换文件块、分区间隙等)无需再进行备份。 | |
| 16 | 支持虚拟机同平台及跨平台瞬时恢复功能,可支持同时启动多个时间点数据副本瞬时 恢复至同平台或异构平台上,用于备份数据演练、验证、应急接管,而无需真实恢复 故障虚拟机进行验证。 | |
| 17 | 支持对 VMware、 Hyper-V、华三(H3C)、深信服(HCI)、FusionCompute、EVEREST、红帽(RHV/oVirt)、SmartX、OpenStack 等主流虚拟化平台跨平台恢复,可跨平台迁 移恢复至任意品牌虚拟化,同时支持直接挂载备份副本即可实现虚拟机的快速恢复。 | |
| 18 | 支持虚拟化环境下的细粒度恢复功能,无需进行整机恢复,即可快速找回虚拟主机内 某单一文件或文件夹,节省恢复效率。 | |
| 19 | 备份一体机操 作系统备份与 恢复要求 | 支持操作系统备份和裸机恢复功能,支持主流 Linux/Window 及国产平台的操作系统 在线备份,在需要时可以迅速从裸机状态直接恢复操作系统,无需重新安装操作系统、驱动程序和应用软件。 |
| 20 | 备份一体机基 础数据备份与 恢复要求 | 支持各种类型数据包括文件、数据库、虚拟机等的异机恢复,提供恢复演练功能,帮 助用户在本地或异地容灾站点快速的进行数据恢复测试演练验证。 |
| 21 | 支持对 CIFS 和 NFS 协议对网络附加存储设备(NAS)提供无代理备份和恢复功能,支 持主流的 NAS 投标人,包括 EMC、NetApp、Huawei、IBM、HP、Hitachi、DELL 等品牌 NAS 产品。(投标人须提供软件系统 NAS 设备无代理备份与恢复功能截图证明) |
第 46 页
| 序号 | 指标项 | 指标要求 |
| 22 | 支持自定义代理备份功能,可自适应感知前端应用主机,直接获取包含操作系统、应 用、数据库等信息,实现快速数据备份与恢复。(投标人须提供软件系统自定义备份 功能详细配置截图证明) | |
| 23 | 备份一体机永 久增量备份功 能要求 | 支持永久增量备份技术,初次备份对所有数据进行完全备份,之后只对新增加或改动 过的数据做增量备份,节省备份数据所需的存储空间,且提升了恢复效率。 |
| 24 | 备份一体机重 复数据删除功 能要求 | 支持备份数据的重复数据删除功能,提供全局重复数据删除特性,不限制重删容量和 客户端,能实现在所有备份数据中仅保存唯一一份相同数据,最大限度的减少备份存 储空间的使用,降低传输数据量,减轻带宽压力。 |
| 25 | 备份一体机加 密传输和存储 要求 | 支持对备份数据进行加密传输和存储,支持提供 AES256、SM4 等多种加密传输功能,提升传输过程以及存储的安全性。在备份任务开启加密功能后,在执行备份任务过程 中备份客户端将生产端数据,在 Client 端先行加密,再传送给备份设备,确保备份 数据传输过程中无泄密风险。(投标人须提供软件系统多种加密传输功能截图证明) |
| 26 | 备份一体机远 程复制功能要 求 | 支持本地异地远程复制功能,将本地备份数据在 24 小时内任意时间向异地灾备中心 进行同步数据,不限制复制容量和任务数,不影响本地异地生产系统正常运行。当本 地发生场地灾难时,可以通过异地的备份数据进行恢复,同时支持指定带宽、限速、加密及压缩等多种传输策略,确保传输效率。 |
| 27 | 备份一体机多 节点统一管理 要求 | 支持多节点在线扩展功能,可对所有节点进行集中统一管理,同时提供存储扩展、管 理功能,可扩展的存储类型包括本地磁盘、分区、LVM、FC、iSCSI、NFS、CIFS 等。 |
| 28 | 备份一体机访 问管理要求 | 基于 https 的 WEB 访问管理模式,中文界面。可集中管理所有备份客户端、备份服务 器,也包括存储、资源、备份计划、恢复操作等,支持以邮件告警的方式对备份系统 的存储空间、备份任务、操作等异常状态提供邮件通知。 |
| 29 | 备份一体机三 权分立要求 | 支持普通和三权分立多种用户访问控制模式,可根据实际需求进行普通模式和三权分 立模式随时切换。普通用户模式包含管理员和操作员两种访问角色类型;三权分立模 式包含审计员、安全员、管理员、操作员四种访问角色类型。 |
| 30 | 备份一体机自 定义安全备份 模式要求 | ▲支持提供自定义安全备份模式,可根据实际业务需求提供多种可选安全模式,将备 份数据与生产网络完全隔离,形成不可被攻击的数据副本。可以有效防止备份数据被 加密或恶意删除,以保证备份副本不可加密、不可篡改、不可删除。(投标人须提供 参数响应承诺函及软件系统多种安全备份模式管理功能截图证明并加盖原厂公章) |
| 31 | 备份一体机售 后服务要求 | 提供原厂三年硬件售后服务,含免费升级,软件补丁,邮件、电话支持服务。 |
| 32 | 产品资质 | 须符合国家标准的强制性要求 |
6、 VPN-参数指标要求
| 序号 | 指标项 | 指标要求 |
| 1. | 基本要求 | 支持 300 最大并发用户数环境,默认 6 个 10/100/1000 电口 1 个 Console 口,单电 源,1U 设备。(投标人须提供承诺函,格式自拟) |
| 2. | 授权要求 | 配置 20 个使用许可授权(包括但不限于终端、亚终端、移动设备等),授权时间为 3 年。(投标人须提供承诺函,格式自拟) |
| 3. | IPv6 支持 | 要求双机能够在 IPv6 环境下进行 HA 组网工作,浮动 IP 地址支持 IPv6。 |
| 4. | 支持应用服务器使用 IPv4 或者 IPv6 地址作为访问地址;网关能够同时支持对 IPv4 以及 IPv6 应用服务器的访问。 | |
| 5. | 配置向导 | 支持配置向导功能,用户能够按照配置向导一步一步的操作,向导结束用户能够完 成账号建立、服务发布、正常访问。 |
| 6. | 认证功能 | 认证方式支持 15 种及以上,包括但不限于本地认证、USBKey、短信认证、数据库认 证、蓝信认证、邮箱认证、证书认证、动态令牌认证、LDAP 认证、windows AD 认证、RADIUS 认证,并且支持支持本地用户名密码、证书认证、第三方证书、LDAP、短信 验证码、邮箱验证码、动态令牌之间的“与”的认证。可实现 USBKey 认证、LDAP 认 证、硬件特征码等多种因子绑定认证。 |
| 7. | 支持用户长期不登录时自动锁定,被锁定后需要管理员才能解锁。 |
第 47 页
| 序号 | 指标项 | 指标要求 |
| 8. | 支持硬件特征码绑定,支持硬盘序列号、MAC 地址绑定,特征码信息无需用户手动设 置输入可自动生成,支持用户拥有多个硬件特征码信息。用户可自己设定取消绑定,并可以重新绑定,而且可设置重新绑定的时间间隔。支持硬件特征码批量导入导出。 | |
| 9. | 批量导入 | 支持批量导入中文用户,导入用户可支持真实姓名、描述、email、手机号等描述信 息。可设置用户或用户组允许/禁止登录。 |
| 10. | 负载均衡 | 支持单独对每个应用发布业务进行负载均衡,具有轮询、加权轮询、最少连接数、静态就近性、动态就近性等算法来实现。 |
| 11. | 终端登录 | 支持终端使用 Win7、win7 64 位、win8、win10、Mac、Linux 等操作系统登录,保证 登录后能够正常访问 SSL VPN 发布的服务。 |
| 12. | 浏览器登录 | 支持 IE6、IE7、IE8、IE9、IE10、IE11 等浏览器登录,登录后能够正常访问 SSLVPN 发布的服务。 |
| 13. | 管理员功能 | 管理员分为状态管理员,系统配置管理员,VPN 管理员,应用安全管理员,防火墙管 理员,日志管理员,系统维护管理员,创建管理员可以为其分配相应的管理员权限。 |
| 14. | 终端安全 | 支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问。 |
| 15. | ▲为加强身份认证,防止登录 SSL VPN 后冒名登录应用系统,产品需支持 SSL VPN 账号与应用系统账号的唯一绑定,VPN 资源中的系统只能以指定账号登陆。(投标人 须提供证明截图并加盖原厂公章) | |
| 16. | 日志及监控 | 支持系统实时监控功能,CPU、内存使用率用动态曲线图表示; 要求以折线图的形式实时动态显示 vpn 的上行和下行流量、线路状态,包括线路 IP,发送和接受流速; 要求以图表形式实时动态显示网络吞吐、并发用户数、并发会话数。 为确保实时性,以上图表显示要求 30 自动刷新 |
| 17. | 支持 CPU 告警、支持内存告警、支持用户授权数告警、支持管理员账号登陆锁定告 警、支持用户账号登陆锁定告警,告警方式为邮件、短信、邮件和短信。 | |
| 18. | 支持虚拟服务用户在线人数显示,支持虚拟服务连接数在线统计;可以记录虚拟服 务的访问日志,接口配置虚拟服务地址池满足业务负载均衡要求。 | |
| 19. | 移动安全 | 为确保安全,IOS、android 客户端登陆必须支持用户名+密码+动态口令、用户名+ 密码+数据库认证、用户名+密码+短信认证等双因子认证方式 |
| 20. | Android、iOS 操作系统支持二维码方式下载客户端,根据 IOS 或 Android 的状态root、越狱进行准入控制、应用授权。 | |
| 21. | 对接入的智能终端可手动设置其状态“禁止”或启动。 | |
| 22. | 为防止泄漏,所投产品需支持移动 APP 数据进行加密,加密算法 AES、SM4 等;支持 移动 app 工作区数据擦除以及设备整体数据擦除。 | |
| 23. | 产品资质 | 须符合国家标准的强制性要求 |
7、 数据库审计系统-参数指标要求
| 序号 | 指标项 | 指标要求 | |
| 1 | 规格 配置 | 硬件配置 | 2U 机架式设备:双电源,6 个电口 (1 个管理口+1 个 HA 口+4 个业务口) ,2×扩展 槽位,16G 内存,2T 存储空间(投标人须提供承诺函,格式自拟) |
| 2 | 性能参数 | 网络吞吐量 2000Mbps,数据库流量 100Mb,峰值 SQL 吞吐 10000 条语句 | |
| 3 | 部署 管理 | 部署方式 | 支持旁路镜像部署、探针部署模式。 |
| 4 | 防统方部 署管理 | ★防统方系统不需要改变现有应用程序和数据库的设计,无需改变应用程序代码,无需应用做二次开发,编写接口等,对医院现有 HIS 系统无影响(投标人须提供 承诺函,格式自拟) | |
| 5 | 统一管理 | 支持单机、虚拟化部署,分布式模式的审计平台多台分级部署,实现对多台数据 库审计设备的统一配置管理、审计事件统一查询等功能。 | |
| 6 | 旁路镜像 | 旁路部署模式对数据库性能和原有网络架构无影响。 | |
| 7 | 支持旁路部署下的三层审计。 | ||
| 8 | 旁路部署通过 SPAN、TAP 等镜像流量的审计,支持跨网段、跨 VLAN 等环境的审计, | ||
第 48 页
| 序号 | 指标项 | 指标要求 | |
| 支持多端口流量审计。 | |||
| 9 | 探针部署 | 探针部署环境至少支持: Redhat/CentOS/Ubuntu/OpenSUSE/SUSE/HP-UX/AIX/Windows 等操作系统环境。 | |
| 10 | 支持探针自动推送安装部署、卸载(即删除),探针区分网络探针和本地探针,支持对网络探针和本地探针进行重启或删除操作。本地探针支持与旁路模式共同 使用。 | ||
| 11 | 支持对探针运行状态实时监控,包括探针当前运行状态、运行时长、CPU 占用率、内存占用量、业务流量等运行指标信息。 | ||
| 12 | 支持探针性能保护设置,设置数据库系统的 CPU 占有率超出阈值时探针自动挂起、低于设定的占比时,自动恢复运行状态,探针异常告警支持邮件、短信通知。 | ||
| 13 | 基础 功能 | 数据库类 型支持 | 至少支持 Oracle、SQL Server、MySQL、DB2、达梦、Hive、Informix、Sybase、PostgreSQL、MariaDB、KingBase、GBase、Hbase、优炫(UXDB)、SAP_HANA、Cache、神通 Oscar、greenplum、GaussDB(高斯)、Tibero、MongoDB、OceanBase、KDB、Teradata、TeleDB、TelePG 等数据库类型。 支持 hive-kerberos 加密认证的审计 支持 sqlserver 账号加密的审计 |
| 14 | 管理模式 | 以 B/S 架构管理模式,支持系统用户管理、角色功能管理、用户登录管理(包括 U 盾证书、AD 域、LDAP 等)管理联动。 | |
| 15 | 用户可自定义分组并分配指定数据库审计权限给组用户 | ||
| 16 | 智能发现 | 支持自动探测网段范围内的数据库、从网络流量中自动发现数据库等两种数据库 发现模式,记录数据库的 IP 地址、端口号、数据库类型等信息,可自由选择将发 现的数据库添加至保护对象或集群,进行数据库审计。 | |
| 17 | 核心 功能 | 审计策略 | 支持双向审计。双向审计策略下,支持对操作的影响行数、执行时长、执行状态、返回内容的行数统计、黑白名单策略、是否开启风险引擎进行设置。 |
| 18 | 支持白名单策略审计,系统不审计来自于白名单的流量。 | ||
| 19 | 支持黑名单审计,系统只审计来自于黑名单的流量。 | ||
| 20 | 支持按照不同审计数据库对象定义不同的审计策略。 | ||
| 21 | 审计规则 | 内置 2000+审计规则(SQL 注入特征与漏洞特征规则共 2000+),包括高危 DDL 操 作事件、高危 DML 操作事件、授权管理事件、账号管理事件、登录失败事件、陌 生 IP 或账号登录事件、SQL 注入攻击事件、漏洞攻击事件等多种审计规则。 | |
| 22 | 内置风险引擎策略,包括 SQL 注入特征库、漏洞特征库,审计系统对触发特征库 的流量进行精准识别并告警。 | ||
| 23 | 支持自定义 SQL 注入特征库和漏洞特征库,提供新增、删除、修改、启用、停用 单个特征策略的入口,从适用的数据库类型(可选择具体数据库类别、通用类型)、风险等级、启用状态、payload 类型、payload 内容等维度通过“与或非”逻辑确 定特征策略;系统可从自定义规则、系统规则两个维度区分规则来源。 | ||
| 24 | 审计内容 | ▲支持对 SQL 语句的登录事件及访问事件进行细粒度审计,包括如下: 登录事件要求记录:触发的规则名称、受保护的对象信息(包括保护对象名、数 据库类型、数据库实例、数据库主机名)、访问者的信息(包括数据库用户、登录 时间、退出时间、应用用户、主机名、客户端 IP、MAC 地址、应用程序名、使用 的操作系统用户)、执行结果、审计级别等。(投标人提供相关证明截图并加盖原 厂公章) 访问事件要求记录:所有的 SQL 操作行为,记录包括触发的规则名称、访问者的 信息(包括客户端 IP、访问时间、终端 IP、终端应用、终端用户名)、受保护的 对象信息(包括数据库类型、服务端 IP、资产)、审计级别、操作行为(包括操 作类型、操作时长、影响行数、执行结果、绑定变量)、原始操作语句等,内置翻 译引擎,对操作语句进行业务化翻译。(投标人须提供相关证明截图并加盖原厂公 章) | |
| 25 | 4M 超长语句审计 | ||
| 26 | 支持对暴力破解、撞库等非法登录行为进行识别、审计。 | ||
| 27 | 高级审计 | 支持对 Oralce、MySQL 等数据库本地审计,包括客户端 SSH 隧道代理访问数据库 | |
第 49 页
| 序号 | 指标项 | 指标要求 | |
| 的操作,本地命令行访问数据库的操作等本地审计场景。 | |||
| 28 | 为确保数据库访问中的安全,支持对 tls1.1、tls1.2、tls1.3 的 mysql5.6 及以 上版本,SQL Server2005 及以上版本的数据库加密流量进行解析审计。 | ||
| 29 | 为适应业务系统不同架构下的三层关联审计,系统需具备多种三层架构精准关联 的审计功能,包括如下: 1)支持在应用端进行轻量级插件部署的方式实现基于流量分析的三层关联解析,精确识别来自于 B/S 架构的浏览器终端信息、应用用户信息; 2)支持基于旁路部署的数据库安全审计系统支持对 http 流量解析实现三层关联 解析,精确识别来自于 B/S 架构的浏览器终端信息、应用用户信息; 3)支持基于旁路部署的数据库安全审计系统支持通过插件代理方式对 https 流量 解析实现三层关联解析,无需将业务系统的 SSL/TLS 证书导入审计设备,无需在 应用中间件上安装插件,完成 B/S 架构的终端精确识别审计。 | ||
| 30 | 内置丰富的风险引擎特征库,支持对 SQL 注入攻击、数据库漏洞攻击进行精准识 别及审计并智能告警。 | ||
| 31 | 审计告警 | 支持根据 IP 地址、操作类型、时间、错误码、数据库类型、操作分类、数据库用 户、返回/影响行数、审计级别、附加 SQL 语句等精细组合因子条件对敏感操作行 为自定义设置告警规则策略。 | |
| 32 | 支持对首次出现的终端 IP、用户名等信息进行告警。 | ||
| 33 | 告警方式包括:邮件、短信、SYSLOG、钉钉。 | ||
| 34 | 支持将告警信息以简单的语言进行翻译,能够对翻译内容进行自定义模板修改,方便用户直观查看理解告警。 | ||
| 35 | 支持探针异常、丢包率、生成事件速率告警,具体告警方式包含邮件等。 | ||
| 36 | 审计查询 | 支持以时间及关键 SQL 操作类型进行模糊搜索,搜索条件可保存。 | |
| 37 | 支持多种条件因子作为关联查询,实现精细化的搜索,搜索条件可保存。 | ||
| 38 | 对于审计操作事件的回溯分析,支持登录事件或访问事件的会话追踪溯源回放,在同一界面展现与此次操作事件相关的登录、操作、退出等事件的全会话过程回 溯回放。 | ||
| 39 | 支持登录事件及访问事件的同类事件审阅,实现在审阅当前事件时,将同类型的 事件一起作审阅操作;支持登录事件及访问事件的自动审阅,实现审阅当前事件 时,系统自动审阅日后产生的同类型事件。 | ||
| 40 | 支持根据不同审计数据库对象实现便捷的事件统计,包括对 DDL、DML、DCL、DQL、OTHER 等事件进行统计,记录统计时间、保护对象名称、数据库类型、服务器 IP 及端口、风险事件数量、登录事件数量、访问事件数量等,并统计事件的具体操 作指令类型及次数。 | ||
| 41 | 支持对敏感数据遮蔽,实现敏感数据经过审计后进行脱敏展示 | ||
| 42 | 审计备份 | 支持定期将审计数据自动备份到 FTP 服务器,支持系统配置的导入导出。 | |
| 43 | 审计存储 | 支持审计日志和告警日志加密存储,保证日志的安全性,不能不通过后台直接查 看审计日志和告警日志。 | |
| 44 | 报表分析 | 定期自动生成以日、周、月、年度综合报表,报表格式支持 PDF/WORD/HTML/EXCEL 等格式进行邮件、钉钉定期推送,并记录推送结果。 | |
| 45 | 综合性报表包括但不限于: 风险报表:数据库风险、客户端风险、规则风险及风险 SQL 统计。 身份报表:用户审计结果、访问次数、客户端工具及账号使用分析统计。行为报表:权限变更分析、认证管理分析、SQL 错误分析统计。 客体报表:数据库审计结果、最后访问时间、数据库用户及工具统计。 响应报表:SQL 平均执行时长、SQL 单次执行时长、执行次数最多的 SQL。语句、执行数最少的 SQL 语句、SQL 语句执行失败次数统计。 运维报表:DDL 分析、DML 分析、DCL 分析等报表。 | ||
| 46 | 内置报表模版类型包括综合报表、SOX 法案报表、PCI 报表、等级保护报表、风险 报表、身份报表、行为报表、课题报表、响应报表等。 | ||
| 47 | 支持按时间范围、报表模板类型、数据库等维度自定义生成报表; | ||
第 50 页
| 序号 | 指标项 | 指标要求 | |
| 48 | 支持根据时间范围、数据库、行为分析或风险分析当中超 10 余种字段进行自定义 分析 | ||
| 49 | 支持从总览的角度进行报表的三级下钻分析,并提供指定的维度反向进行风险或 行为分析。 | ||
| 50 | 支持暗数据分级分类结果关联,展示事件敏感信息级别 | ||
| 51 | 系统 安全 | 系统监控 | 支持对 CPU、内存、网络、磁盘 I/O 的使用量进行监控。 |
| 52 | 支持对网络流量、网络数据包进行监控,包括接收的网络流量、处理的网络流量、业务丢包率、网络丢包率; 支持对登录事件、访问事件审计速率的监控,统计数据包括生成事件速率、处理 事件速率、建立索引速率。 | ||
| 53 | 支持设置峰值告警策略,当审计系统业务丢包率、网络丢包率、系统生成事件速 率、系统生成事件总量超过一定阈值时,系统进行告警,告警方式包括邮件、短 信。 | ||
| 54 | 服务启停 | 支持一键重启、关闭审计系统主机。 | |
| 55 | 支持对审计系统的 web 服务、系统数据库、消息队列、搜索引擎、Redis 服务、服务注册服务、nodejs、组件监控模块、探针服务、搜索服务、搜索业务服务、报表服务、字典服务、审计核心、流量发现等服务进行监控展示,记录运行时间,支持一键重启、停止服务。 | ||
8、 安全等保测评及加固服务
8.1等级保护测评及整改服务
1) 测评服务
中标人需按监管机构相关要求,负责邀请具有网络安全等级保护测评资质的机构进行对医院 2 个三级 系统、1 个二级系统开展测评工作,并协助完成测评问题整改和完成标准验收测试工作,提供测评报告 3 份,相关费用需包含在投标报价中,招标人及用户不再另行支付费用。
测评整改主要任务 2)
a) 协助测评
中标人的安全顾问或项目经理需配合测评机构的现场测评工作。安全顾问需陪同医院技术人员配合现 场测评工作,协助回答测评人员问题,协助医院完成 2 个三级系统、1 个二级系统通过国家等级保护的相 应测评。
b) 准备资料
在医院向测评机构申请测评后,安全顾问需根据测评要求,协助补充和准备测评所需的文档资料,如 机房安全管理制度及相关记录、安全职责书说明、安全漏洞检测和系统升级管理制度及相关记录、权限管 理制度及相关记录、备份制度及相关记录、防病毒管理制度和记录、第三方人员管理制度、安全事件报告 制度、应急管理制度和应用预案等,确保符合国家等级保护测评需要。
c) 测评问题单整改
投标人根据测评机构提出的不符合项问题单进行梳理,承诺提供技术服务或安全设备对医院的信息系 统实施整改工作。
d) 问题整改确认
中标人在根据医院信息系统的测评不符合项逐一整改完成后,提供至少 1 次的整改确认服务,具体至 少包含:安全漏洞扫描、安全基线核查、渗透测试复查和再次测试、安全管理体系落地性审核等。
第 51 页
e) 现场协助
安全顾问需陪同医院技术人员配合现场测评工作,协助回答测评人员问题,协助医院完成主要信息系 统通过国家等级保护的相应测评。
3) 项目交付物
本次项目完成实施后,服务商提供的交付物包括不限于三个系统的以下材料:《XX 系统等级保护测评服务方案》a)
b)《XX 系统安全整改实施方案》;
c)
《XX 系统安全整改报告》;d)《XX 系统等级测评报告》;
其它项目过程材料。e)
8.2终端安全管理系统
目前医院部署有终端安全管理系统,产品名称为奇安信天擎终端安全管理系统,版本号为 6.6.0.1054;为了满足合规及业务防护要求,需对现有终端安全管理系统进行加固升级;需提供 530 个办公终端杀毒授 权,30 个 Windows 服务器杀毒授权,10 个 linux 服务器杀毒授权,含终端病毒防护、补丁管理和运维管 控等模块 3 年的升级维保;
★ 投标人投标时需承诺在中标后 10 个工作日内提供原厂授权服务函,并承诺提供的产品与采购需求 一致,否则投标人自愿放弃中选资格。(投标人须出具承诺函)
| 序号 | 指标项 | 指标要求 |
| 1 | 服务授权要求 | 提供终端安全管理系统软件及特征库 3 年的升级维保授权。配置≥530 个 Windows PC 终端授权,其中包含防病毒、补丁管理、运维管控功能授权;配置≥30 个 Windows 服务器;≥10 个 linux 服务器杀毒授权客户端防病毒、补丁管理授权; |
| 2 | 部署要求 | ▲为最低影响业务开展,提供的产品必须兼容医院的防病毒软件和控制中心系统,并在一周内完成部署安装调试工作。(投标人须提供承诺函,格式自拟) |
| 3 | 功能要求 | 控制中心:采用 B/S 架构管理端,具备设备分组管理、策略制定下发、全网健康状 况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理 以及各种报表和查询等功能; |
| 4 | 产品支持终端保护密码,设置密码后,终端退出或卸载杀毒、或安装控制中心,都 需要输入正确的密码方可执行; | |
| 5 | 支持自动分组,按 IP 地址、CPU 数量、MEM 容量、主机名、计算机工作组等参数进 行自动动态调整分组。 | |
| 6 | 管理控制中心当登录账号输入密码错误次数超过锁定阈值后账号将被锁定,且可设 置锁定时间,该时间内账号登录请求不被接受。同时应支持双因子认证登录方式,提高安全性。(投标人须提供证明截图) | |
| 7 | 客户端主程序、病毒库版本支持按分组和多批次进行灰度更新,保持在低风险中完 成终端能力更新。支持设置不同终端类型设置和每批次观察时长。当检测到新版本 将从第一批次重新观察。 | |
| 8 | 支持对压缩包内的病毒扫描,支持多层压缩包的扫描,可自定义配置压缩包的扫描 层数,至少大约 10 层模式下的扫描。 | |
| 9 | 病毒报表支持病毒查杀趋势、扫描触发方式趋势、发现病毒趋势、终端感染趋势、病毒类型统计、病毒处理结果统计、病毒发现触、方式统计、趋势图表、按分组、 |
第 52 页
| 序号 | 指标项 | 指标要求 |
| 按终端、按病毒名称。 | ||
| 10 | 支持手动导入、导出黑白名单,添加黑白名单。支持通过文件导入添加黑白名单。 | |
| 11 | 支持通过文件数字签名添加黑白名单管理。 | |
| 12 | 支持信任区设置,病毒扫描或实时防护时不扫描目录或文件。 | |
| 13 | 病毒扫描支持扫描所有文件和仅扫描程序及文档文件设置,支持对压缩包文件设置 最大扫描层数和大小,当发现压缩包内存在病毒时,还需继续扫描压缩包内其他文 件。 | |
| 14 | 支持自动阻止远程登录行为,防护黑客远程爆破和拦截恶意的远程登录。 | |
| 15 | 支持网络入侵拦截对流入本机的网络包数据和行为进行检测,根据策略在网络层拦 截漏洞攻击、黑客入侵等威胁。 | |
| 16 | 支持僵尸网络攻击防护,对流出本机的网络包数据和行为进行检测,根据策略在网 络层拦截后门攻击、C2 连接等威胁。 | |
| 17 | 支持防护对流出本机的网络包数据和行为进行检测,根据策略在网络层拦截后门攻 击、C2 连接等威胁。 | |
| 18 | 支持 ARP 攻击防护根据策略检测和拦截局域网中的 ARP 欺骗攻击行为。 | |
| 19 | 支持展示终端信息、补丁号、补丁级别、补丁类型、安装日期、事件上报时间、事 件类型、结果、详细描述。 | |
| 20 | 支持按终端统计补丁安装和生效情况,支持按照终端维度统计,统计每台终端的各 个级别的补丁未安装数量,以及已安装、已安装未生效、已排除的总数量,并支持 导出统计报表。 | |
| 21 | 支持按照补丁的维度统计补丁安装情况,包括补丁号、系统类型、补丁类型、补丁 级别、补丁名称、补丁描述、发布日期、漏洞 CVE 编号、漏洞 CNNVD 编号、未安装、已安装、已安装未生效、已排除、未更新补丁库。并支持导出统计报表。(投标人 须提供证明截图) | |
| 22 | 支持不少于两个杀毒引擎混合使用,提高病毒检出率。 | |
| 23 | 资质要求 | 须符合国家标准的强制性要求 |
| 24 | 所投产品具备国家版权局颁发的《计算机软件著作权登记证书》; | |
| 25 | 通过国际权威杀毒软件评测机构 Virus Bulleti 测评认证,VB100。(投标人须提 供有效期内的证明材料) |
8.3 OV SSL 证书
OV SSL 证书是 Organization Validation SSL 的缩写,指需要验证网站所有单位的真实身份的标准 型 SSL 证书,通过证书颁发机构审查网站企业身份和域名所有权以证明申请单位是一个合法存在的真实实 体,证书用于验证此域名由特定组织所拥有。此类证书不仅能起到网站机密信息加密的作用,而且能向用 户证明网站的真实身份。本次项目采购的证书要求参数如下:
1)适用于需要SSL加密和自身合法性服务的用户;
2)加密强度256位;
3)激活浏览器挂锁;
4)网站安全签章;
5)支持SGC强制128位加密;
6)自动保护www.和无www.网站;
第 53 页
7)有限期内免费重签发服务;
8)支持反钓鱼攻击
9)支持所有的主流浏览器;
10)支持所有的主流移动终端平台;
11)免费的热线及email服务支持;
12)域名审核+机构审核,周期为3至5个工作日;
13)单张最长有效期为1年;
14)支持通配符服务
15)支持SANs服务
四、 投标人要求
★投标人须保证所使用的所有设备和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和 可靠性。由此产生的一切责任由投标人负完全责任。(投标人须提供承诺函)
第 54 页
微信扫码关注
